Auteur: Stephane Perez Date: À: guilde Sujet: RE: Wifi ... encore mais plus philosophique
Bonjour,
La version SSH est assez séduisante quoiqu'un peu complexe à mettre en
oeuvre compte tenu des différents softs et liens entre les couches réseaux
surtout si certains des clients sont non linux et que tu doivent installer
SSH dessus.
En ce qui concerne l'authentification, le meilleur moyen est dans ce genre
de cas d'utiliser radius, sous linux tu trouveras freeradius. Le principe
est qu'un client se connecte en ppp et soit authentifié par un logiciel
externe et sur une base centralisée type LDAP par ex.
>Là j'ai une autre idée : laisser le noeud ouvert (pas de crypto, pas d'ACL au niveau de l'AP, ESSID >en broadcast, un serveur DHCP ...) mais il n'y a acces qu'a un nombre réduit de ports (ftp, ssh et >apache). Mais par contre pas de forward WIFI->internet.
En ce qui concerne ton problème de sécurisation de la connexion, une
solution relativement simple s'offre à toi.
Tu as certainement un Apache qui tourne sur ton firewall, donc sur cet
apache, tu mets une page www en SSL sur laquelle tu fera l'authentification
de tes utilisateurs sur une base mysql par ex. Et si l'utilisateur est
valide à ce moment la un petit script perl modifie les règles de firewall.
La seule chose à faire pour le SSL est d'avoir un mod_ssl et de générer et
signer un certificat avec openssl, tu peux le faire valider par une CA type
verisign si tu le souhaite par la suite.
Une autre solution serait de mettre un VPN soit en L2TP+Ipsec soit en IPSec
tout court mais c'est un peu lourd à gérer et le problème vient surtout des
adresses dynamiques et donc la nécessité d'utiliser ipsec en aggressive mode
ce qui peut poser quelques problèmes au serveur linux (je suis pas sur que
freeswan accepte les connexions entrantes en aggressive mode)